NinjaFirewall review y opinión de este plugin de seguridad para WordPress

¿Cuál es para ti el plugin de seguridad más robusto para WordPress? ¿Con cuál te sientes más seguro o más protegido?

¿iThemes Security, Wordfence, All in One WP Security, BulletProof?

Tranquilo, no respondas inmediatamente. Tómate tu tiempo y piénsalo.

Te digo esto porque yo me tomé el mio y además hice mis propias pruebas.

Al final, llegué a la conclusión de que el plugin más sólido y robusto -e imprescindible en mi proyecto- que hay en el ecosistema de WordPress para proteger mi sitio web y yo sentirme más tranquilo es NinjaFirewall.

Por eso hoy te quiero hablar de esta herramienta, la cual no deberías perderte por no conocerla.

Tanto si tienes una tienda de comercio electrónico donde vendes tus productos, una escuela online donde promocionas y vendes tus cursos o un sitio que aspira a ser un blog de referencia en su nicho, creo que este plugin es el mejor escudo en el que deberías invertir para proteger tu activo digital y dormir tranquilo.

NinjaFirewall actua como un escudo de seguridad que protege tu activo digital de los linces que pululan por Internet con muy malas intenciones.

Te hablo de piratas digitales, malware, bots de dudoso comportamiento, scripts de php, parásitos, bichos y otras especies raras que tratarán de “joderte” si no andas con cuidado.

Es así, Internet tiene su lado gris y tu no puedes hacer nada al respecto. En todo este mundo de grises, NinjaFirewall viene a poner un poco de color en el tema.

Lo que voy a hacer es contarte más y luego tu sacas tus propias conclusiones. ¡Vamos allá!

¿Qué tipo de plugin es NinjaFirewall?

NinjaFirewall es una herramienta dentro del segmento de los cortafuegos o WAF, “Web Application Firewall” o lo que es lo mismo, una aplicación web que actúa como un escudo de seguridad de todas las visitas qeu recibes.

Te lo explico de otra manera para que me entiendas mejor.

El funcionamiento de NinjaFirewall consiste en revisar una a una todas las visitas que llegan a tu sitio y, si alguna de esas visitas no cumple los requisitos, es bloquea inmediatamente impidiéndoles el acceso al contenido.

¿Y cómo decide el plugin que una visita no cumple los requisitos?

Medinate un motor de reglas preconfigurado que le permite determinar quién puede visitar tu web y quien no.

Tu podrás configurar unas cuantas opciones de comportamiento que afectarán a algunas reglas, pero no a todas.

Si eres como yo, al principio serás un poco escéptico con este plugin porque “tiene menos popularidad” que otras alternativas, no está disponible en castellano, su lenguaje es muy técnico y encima, cuando quieres probarlo y te pones a instalarlo, la broma viene con curvas.

Nota. Entenderás porque te digo esto un poco más adelante, cuando trates de instalarlo por tu cuenta.

¿Qué puede tener un plugin de bueno con esta carta de presentación?

Ya me instalo otro que tengo unos cuantos para elegir.

Y no te quito razón visto así, pero te adelanto que ninguno como este.

Así que, a pesar del mal trago de la instalación y superado mi escepticismo inicial, tras más de 2 años funcionando con él 24×7, hoy te puedo decir con total confianza que NinjaFirewall es el plugin de seguridad que quiero tener instalado para proteger mi WordPress sin lugar a dudas.

Esta confianza se la terminó de ganar hace unos meses cuando lo pude ver en escena poniendo freno a un volumen de tráfico desmesurado y malintencionado procedente de diversos países en el blog de mi compañero Omar.

Fue un momento de máxima expectación donde vimos al plugin enfrentándose a una situación delicada pero que sorprendentemente sorteó con mucha soltura y no menos aparente facilidad.

El plugin estaba haciendo honor a su nombre, NinjaFirewall. Se me quitaron las dudas y el escepticismo de un plumazo con este plugin.

Bien, pues dicho todo esto, llega el momento de ponernos manos a la obra, vamos a instalar NinjaFirewall y ver sus opciones de configuración.

Instalar NinjaFirewall

Vas a ver la instalación en ENDEOS, el hosting que empleo para el dominio de pruebas www.dominandowp.com.

¿Por qué tengo este dominio en ENDEOS cuando recomiendo SiteGround como primera opción?

Porque hace un año aproximadamente los chicos de ENDEOS sacaron una promoción para tener “un hosting GRATIS para siempre” con el único requisito de que les contrataras un dominio a razón de 19 euros/año.

El plan de la promoción, es este. Me pareció un trato razonable para el uso que yo le quería y quiero dar y más aún teniendo en cuenta que el año pasado no conocía pilvia.com

De momento, es un precio que no me supone un problema por lo que no le doy más vueltas.

Las capturas de pantalla que vas a ver a continuación son del proceso de instalación del plugin en ENDEOS.

Te digo esto para que tengas en cuenta que es posible que a ti no te funcione exactamente igual porque no todos los servidores están configurados del mismo modo y este plugin es un poco delicado en ese punto.

Tu prueba tal y como vas a ver aquí pero tenlo en cuenta.

En primer lugar instala NinjaFirewall

Nota. Si haces clic en la imagen se inicia un pequeño video.

Una vez instalado localiza el acceso directo a NinjaFirewall en el menú lateral izquierdo y haz clic sobre el.

Verás la imagen que te muestro a continuación.

Selecciona el modo de instalación de NinjaFirewall

En esta primera página te explican las diferencias entre los dos modos que tienes para instalar el plugin, Full WAF mode y WordPress WAF mode.

Tienes la posibilidad de seleccionar uno u otro.

FULL WAF mode

En este modo el plugin proporciona el máximo nivel de protección. Este es el modo que te recomiendo instalar.

WordPress WAF mode

Si por alguna razón no puedes configurar el plugin en modo FULL WAF, (podría darse el caso) tienes la opción de emplear el modo WordPress WAF que te proporciona un nivel de protección inferior, pero elevado igualmente.

Selecciona modo FULL WAF y haz clic en “Next Step”.

Vamos con la configuración del sistema “system configuration”

En este punto hay que materializar unos ajustes de configuración muy técnicos que determinan cómo va a ser la comunicación entre el plugin y el servidor donde tienes tu WordPress para que el plugin funcione correctamente.

Nota. Date cuenta de que este punto difiere completamente de otros plugins. A pesar de estar el plugin instalado y activado, éste no hará su trabajo a menos que configures correctamente las opciones que corresponden para tu hosting.

Para ello, tienes que tener claro el valor de estas opciones.

• (1) HTTP Server. Tienes que indicarle si tu servidor web es Apache, Nginx, Litespeed, etc. El soporte de tu hosting te lo dice. Lo normal común es que sea Apache.
• (2) PHP server API. Esto es el tipo de interfaz que hay entre PHP y el servidor. Este valor lo obtienes haciendo clic view PHPINFO. Guíate por la imagen siguiente. Lo más común es que sea CGI/FastCGI.
• (3) PHP initialization file. Tienes que seleccionar el método que soporte tu servidor web para este propósito. Una de estas tres opciones:
  • php.ini
  • .user.ini
  • php5.ini

No más común en este caso es que sea php.ini pero no siempre es así. En ENDEOS he tenido que emplear la opción “.user.ini” tal y como ves en la imagen inferior.

Cuando lo tengas, haz clic en “siguiente paso”.

Imagen que te muestra cómo puedes obtener el valor “PHP server API”

Al hacer clic en siguiente verás lo que se muestra en la imagen inferior.

Esta página te explica lo que va a hacer NinjaFirewall y te pide que elijas si dejas que el plugin haga su trabajo o si por el contrario, lo haces tu manualmente.

Deja marcada la opción para que el plugin materialice la configuración y presiona en “Next Step”.

Si accedes por FTP a la raiz de la instalación de tu sitio, verás que se ha creado un archivo “.user.ini”.

Si al hacer clic en siguiente ves este mensaje de error que te muestro en la imagen inferior no te alarmes, espera unos segundos y haz clic en el botón “Test Again”.

Si todo va bien tras hacer el test de comprobación, verás lo que muestro en la imagen siguiente.

¡Enhorabuena!, NinjaFirewall está levantado y funcionando.

Vamos a continuación a abordar la configuración del plugin.

Opciones de configuración de NinjaFirewall

Bien, una vez instalado vamos al lío.

Te voy a contar todo lo que yo se sobre las opciones de configuración de NinjaFirewall, que no son pocas.

Trataré de ser lo más cordial posible confiando que quede todo bien atado.

Tienes a tu disposición los comentarios, por lo que siéntete libre de compartir tu opinión, ahora bien, intenta no sobrepasar ciertos límites, es decir, no te adentres en terrenos que son propios de soporte técnico.

En dicho caso, si te invito a hablar con el equipo de desarrollo del plugin no te lo tomes mal.

Overview

La primera opción que tienes a tu alcance es la opción de “Overview” o vista previa.

Aquí tienes un breve resumen que te informa de que:

1. El plugin está habilitado
2. El modo de funcionamiento del plugin Full WAF o WordPress WAF
3. El mecanismo de comunicación entre el plugin y el servidor.
   1. Está definido por el administrador del servidor y depende de cada hosting. El plugin aquí no hace más que mostrarlo y listo.
4. La versión del plugin que tienes instalada y la fecha de última actualización de las reglas de seguridad.
5. El usuario administrador que está en la lista blanca

Statistic

Desde esta opción accedes a una escueta y resumida vista de las estadísticas que recopila mensualmente el plugin en base a criterios de severidad

Te ofrece un número con el total de intentos de hackeo bloquedos.

Te ofrece información porcentual sobre el nivel de severidad durante el transcurso del mes en curso y te lo colorea. Crítico (rojo), alto (naranja) y medio (amarillo).

También te proporciona un pequeño análisis de rendimiento interno con datos de los tiempos de respuesta medidos en segundos que necesita para procesar las visitas

• Tiempo medio por solicitud
• Solicitud más rápida
• Solicitud más lenta

Estas cifras te pueden servir de orientación para hacerte una idea del tiempo que necesitaría el plugin para procesar cientos de miles de visitas.

En los años que llevo empleando el plugin el valor máximo que he visto yo aquí es de 2 segundos, que considero un valor elevado. Lo natural aquí es ver números muy bajos, lo que te da pistas de lo ágil que es plugin en su cometido.

Firewall options

Desde esta opción accedes a las opciones del Firewall.

1. Firewall protection. Enabled. Desde aquí puedes habilitar y deshabilita el Firewall a tu voluntad.
2. Debugging mode. Disabled. El valor por defecto de esta opción es correcto. No necesitarás habilitar esta opción a menos que te lo indique el equipo de soporte.
3. HTTP error code to return. 403 Forbidden. El valor por defecto es apropiado. Se trata del mensaje que se muestra el navegador cuando algo o alguien es bloqueado por el plugin.
4. Blocked user message. Es el texto que se muestra a la persona que se le bloquea el acceso al sitio. Puedes emplear etiquetas html aquí. Me he limitado a traducir el texto al castellano y poco más.
   1. En el caso de que por error una persona sea bloqueada a tu sitio de forma incorrecta (en ocasiones esporádicas sucede) la persona afectada podrá contactar contigo por redes sociales u otras vías alternativas para facilitarte el identificador (ID) numérico para que tu puedas revisarlo y corregirlo.
5. Export configuration. Puedes exportar la configuración completa del plugin para importarla en otro sitio o como copia de seguridad.
6. Import configuration. Opción para importar un archivo de configuración de NinjaFirewall.

Firewall policies

En esta opción se definen una relación de políticas de seguridad que determinarán quién puede acceder a tu sitio y quien no junto con algunas otras opciones interesantes.

Sin entrar en muchos detalles te adelanto que las opciones que tienes por defecto son suficientes.

Te digo esto porque en este artículo no voy a abordarlas todas.

• HTTP / HTTPS. Opción (3) de la imagen. Si tienes tu sitio migrado a https, en este punto puedes dejar marcada la opción HTTPS traffic only.
• File uploads. Opción (3) de la imagen. Deja la opción Disallow uploads (default) marcada.

File Guard

La opción “File Guard” o guardián de los archivos te permite monitorizar la actividad de los archivos de tu sitio enviándote una alerta a tu correo dado el escenario que se indica.

Esta opción se recomienda por defecto tenerla marcada en SÍ. Yo te recomiendo lo contrario.

Te explico porque

Cuando tu ves como funcionan las herramientas maliciosas que han infectado un sitio web y entiendes cómo actúan en un servidor, suceden cosas como que de repente te aparecen de la nada cientos de archivos que son consultados desde el exterior cada cierto tiempo.

Esto a veces tiene su efecto en un comportamiento atípico en tu sitio.

Pues con File Guard podrías detectar esos movimientos recibiendo alertas en el correo electrónico para que puedas revisar y analizar.

Por tanto, si activas esta herramienta es porque sospechas de que algo no va bien con tu web y crees que puedes tener algún tipo de infección.

Si no existe esa sospecha y activas File Guard puede darse el caso (que se da) de que recibas falsas alarmas en tu buzón de correo e inviertas tiempo en rastrear la propia actividad que día a día genera tu web por su funcionamiento interno. Vamos que pierdes el tiempo inútilmente.

Por esta razón, soy más partidario de desactivar esta opción por norma y emplearla si hay sospechas de algo no va bien.

File Check

La opción File Check se complementa con la opción anterior.

En este caso tienes a tu alcance una herramienta para verificar los archivos que componen tu sitio, lo que te permitiría saber si se ha producido una manipulación o no.

Tampoco te recomiendo emplear esta opción a menos que tengas sospechas de que algo no vaya bien.

Lo natural es que te encuentres con las opciones que te indico en la imagen inferior.

En el caso de que hagas un snapshot o una foto de tus archivos, verías lo que te muestro en la imagen inferior.

La broma aquí consistiría en programar un verificación recurrente y comparar. El análisis comparativo te dará pistas suficientes para sacar conclusiones.

Quédate con la idea de que la opción está ahí, pero no tienes que emplearla.

Anti-Malware

Se trata de otra herramienta complementarias a File Guard y a File Check que te permiten detectar en conjunto si hay actividad malintencionada en tu sitio.

Por su propio nombre, Anti-Malware, te lo dice todo.

Se trata de una opción para revisar si en tu instalación hay algún tipo de archivo malintencionado.

¿Cómo funciona esta opción?

El plugin carga de serie unas firmas que se consideran sospechosas y las compara con los archivos de tu instalación.

Si tras realizar un análisis se detecta que algún archivo incorpora alguna de estas firmas te lo notificaría para que actuaras en consecuencia.

Tienes la opción de definir qué archivos y/o carpetas son susceptibles de ser revisados y cuáles no.

Event Notifications

La opción de notificación de eventos te permite configurar cuándo quieres recibir una notificación en tu correo electrónico en base a la actividad que se desarrolle en tu sitio.

En sitios donde colaboran diferentes personas con diferentes roles esta opción puede ser más que apropiada para estar al corriente de lo que se cuece.

Si tú eres el único administrador de tu WordPress y solo tú metes mano pues notificarte a ti mismo las acciones que materializas puede no ser muy inteligente.

Lo dejo a tu criterio en función de tu escenario.

Login Protection

La opción “Login Protection” es una de mis favoritas. Te recomiendo activarla y configurarla como te indico en la imagen.

La opción “Enable brute force attack protection” o lo que es lo mismo, “habilitar la protección por ataque de fuerza bruta” básicamente lo que hace es bloquear todas las visitas malintencionadas que se produzcan en el login de tu sitio.

El comportamiento de esta herramienta lo defines tú mediante las opciones de configuración que tienes disponibles.

Tienes tres opciones:

• Desactivado. No recomendado.
• Siempre activo. No te recomiendo esta opción aunque alguna vez me he puesto un poco paranoico y he tenido esta opción activada una temporada.
• Activar solo si estamos bajo ataque. Es la opción (3) de la imagen. El login no estará bloqueado, a menos que, algo o alguien malintencionado active dicha protección. Esta para mi es la opción de configuración más apropiada.

Configura después la opción “Type of protection” o lo que es lo mismo, el tipo de protección que quieres, bien mediante una contraseña o un captcha.

Lo que te resulte más cómodo. Yo soy más de poner una contraseña, pero vaya que esto te lo dejo a tu gusto.

Si defines contraseña se te activarán las opciones apropiadas para poner una contraseña y, si defines captcha se te activarán las opciones apropiadas para un captcha.

En la opción “Protect the login against”, o lo que es lo mismo, proteger el login contra selecciona “GET and POST request attacks” o lo que es lo mismo, protégeme contra solicitudes de ataques de tipo GET o de tipo POST.

Nota. La gracia de esto está en que independientemente del tipo de ataque que sea, por favor, tu protegeme.

Los valores definidos para “Enable protection” déjalos tal cual. No es necesario que los modifiques.

Termina de configurar el resto de opciones al gusto.

Más abajo verás la opción “Various options” / “Opciones varias”

• XML-RPC API. Marca esta opción para que el plugin también se encargue de proteger de ataques de fuerza bruta el archivo xmlrpc.php.
• Lo mismo para la opción de Bot protection.
• La opcion de “Authentication log” déjala sin marcar.

Firewall Log

Desde esta opción puedes ver todas las visitas que han sido bloqueadas por NinjaFirewall.

Mes a mes se crea un archivo de texto (punto 3 que te marco en la imagen inferior) que conserva un registro de toda la actividad malintencionada para que puedas revisar, estar informado y actuar en consecuencia.

La datos que se almacenan en dicho archivo son los siguientes: (punto 4 que te marco en la imagen inferior)

• La fecha y la hora
• La regla que se incumple
• La IP de la visita
• El nivel de peligrosidad estimado
• El número de incidente asignado
• La solicitud (Request) que ha realizado con todos los detalles
  • Esta columna te da una luz tremenda de lo que se cuece en tu sitio

Live Log

La opción Live Log, te muestra la actividad o visitas a tu sitio en tiempo real que captura NinjaFirewall.

Para ver actividad en tiempo real tienes que dejar pasar unos segundos/minutos hasta que el plugin te empieza a mostrar actividad en esta página.

Tienes varias posibilidades. Encencer el monitor en tiempo real, apagarlo, modificar el intervalo de refresco de pantalla, borrar la ventana, activar el autoscrolling e incluso determinar el formato de los datos que se mostrarán en el monitor.

Rules Editor

Vamos con la opción NinjaFirewall “built-in security rules” o Reglas de seguridad integradas de NinjaFirewall.

El editor de reglas (1) te permite deshabilitar y habilitar la relación de reglas que por defecto incorpora el plugin. Prácticamente la totalidad están habilitadas.

Estas reglas son las que ves en las opciones (3) y ( 4) de la imagen.

Hay reglas de numerosos tipos y son herméticas. Con esto te quiero decir que no puedes editarlas y/o manipularlas. El equipo técnico que desarrolla el plugin se encarga de mantenerlas y actualizarlas.

En la opción (5) que te muestro en la imagen tienes la lista de reglas que están deshabilitadas.

Hay un número determinado de ellas (las que están sombreadas en color gris dentro de la lista desplegable) que puedes administrar desde la opción “Firewall policies”.

Aquí no tienes que tocar nada a menos que medie una consulta de soporte y desde el equipo técnico te inviten a hacer cambios.

Updates

La opción opción Updates te permite definir si quieres que el plugin busque automáticamente nuevas reglas y/o actualizaciones.

Te recomiendo tener esta opción activada.

Te permite además definir la frecuencia con la que el plugin revisará si se han publicado nuevas reglas o se han materializado actualizaciones de las mismas.

Yo te recomiendo aqui configurar una frecuencia diaria y marcar la opción de que envíe un correo electrónico para estar al corriente. Me gusta así.

WP+ Edition

Esta opción te da acceso a una página informativa de la versión de pago.

Básicamente te informa de los beneficios de emplear las herramientas adicionales que incorpora dicha versión.

Pues echarle un vistazo, de todos modos más abajo te las comento y te pongo al corriente.

En mi opinión, es altamente recomendable la versión comercial de NinjaFirewall.

Verás, la inversión de una licencia que cuesta 34,90 dólares te da cobertura durante un año para un dominio que tu elijas.

A mi me parece un precio más que razonable. En el caso de que tengas subdominios, éstos estarían cubiertos con la misma licencia.

Ponte en el caso de que decidas tener un tienda online y un blog separados o un sitio web y una escuela online separadas. Con la misma licencia podrás cubrir los dos WordPress.

También soporta multisitios, es decir, que con la misma licencia puedes proteger toda tu red de páginas.

Todo esto se explica en la web del desarrollador en una nota a pie de artículo.

*The license is bound to your domain name. Therefore, one license per domain is required. The same license can however handle multiple subdomains. If you don’t renew it after its expiration date, NinjaFirewall will keep protecting your website but you will no longer be able to update it to a newer version.
**If you are planning to use NinjaFirewall (WP+ Edition) on a multi-site installation, you will need one license only. Contact us if you are unsure.

El equipo detrás de NinjaFirewall no tiene el marketing que tienen Sucuri o Wordfence y sospecho que pueda ser porque no quieren -ojo que esto es algo que me saco yo de la manga- pero la verdad es que tienen una herramienta muy potente y completa que hace muy bien su trabajo en la sombra y al mismo nivel -yo diría que más- que estos otros dos actores, lo cuales, disfrutan de una mayor popularidad.

Te adelanto que no he tenido ninguna incompatibilidad hasta la fecha que haya podido achacar a este plugin y dudo que lo pueda tener el futuro.

En parte es por su propio diseño y el modo de funcionamiento, lo que no da pie a que algo así pueda suceder.

About

En la opción About tienes una página con un resumen de las tres herramientas que desarrollan y mantienen estos señores de Nintechnet.

• NinjaFirewall. El plugin para proteger tu WordPress.
• NinjaMonitoring. Herramienta para monitorizar que tu sitio web esté siempre operativo.
• NinjaRecovery. Servicio de limpieza de sitios web infectados.

Para terminar

Confío que después de llegar hasta aquí tengas un poquito más claro que es NinjaFirewall y cómo lo puedes instalar y configurar.

Interpreto que después de todo lo que te he contado estarás con la mente más abierta y entiendes porque lo considero tan potente.

Me gustará que valores invertir en la versión de pago a pesar de que en este artículo sólo te he mostrado las posibilidades de la versión gratuita.

Creo que una inversión de 34,90 dolares al año por una licencia anual para un dominio me parece más que razonable frente a otras alternativas.

También me gustará saber que después de todo este artículo, te has planteado considerarlo como alternativa sólida frente a otras opciones.

Si con este post te hago dudar, ya habré conseguido mucho. Si decides instalártelo y probar será todo un éxito.

Pues por mi parte nada más. Ahora te toca a ti.

¿Tienes algo que decirme? ¿Compartes mi opinión? ¿Alguna crítica? ¿Alguna inquietud? ¿duda?

Adelante, tienes los comentarios abiertos.